Информационная безопасность на предприятии

Понятие и задачи информационной безопасности, используемые в данном процессе методы и приемы. Подбор оборудования и программного обеспечения. Обзор и сравнение семейства стандартов информационной безопасности ISO 27000 и отечественных стандартов.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 02.04.2016
Размер файла 99,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Следующим этапом является анализ информационных потоков организации.

На данном процессе происходит анализ информационных потоков ИС. Для уточнения процесса, также строятся различные диаграммы, которые показывают и определяют уровень защиты данного потока. После данного этапа работ аудиторами предлагается повышение уровня защищенности для ценной информации. Для неценной информации уровень защищенности остается прежним.

В процессе экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции.

Определение полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков / подсистем ИС является важным шагом при анализе информационных систем. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Типичный отчет о проведении экспертного аудита может включать в себя следующее:

· «Изменения (если они требуются) в существующей топологии сети и технологии обработки информации;

· Рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;

· Предложения по совершенствованию пакета организационно-распорядительных документов;

· Предложения по этапам создания системы информационной безопасности;

· Ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала)».

Аудит на соответствие стандартам

Основной сутью данного аудита является формулирование целей в финансовой сфере. При проведении данного аудита происходит сравнение текущей информационной безопасности с описанием некой безопасности в одном из стандартов.

Отчет, который будет подготовлен после проведения данного аудита, должен включать в себя следующее:

· Уровень соответствия информационной системы текущим стандартам;

· Уровень, которому соответствует внутренние требования предприятия в области информационной безопасности;

· Количество и категории полученных несоответствий и замечаний;

· Рекомендации по построению или усовершенствованию системы, которая обеспечивает информационную безопасность предприятия, позволяющая привести текущую информационную безопасность в соответствие с рассматриваемым стандартом;

· Основные документы заказчика, необходимые для обеспечения информационной безопасности.

Примером стандартов, которые будут рассматриваться в качестве «идеальных» может послужить следующие стандарты:

· Отечественные стандарты:

ь «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);

ь «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»).

· Международные стандарты:

ь ISO/IEC 17799 (ныне называется ISO 27002) - «Информационные технологии. Управление информационной безопасностью»;

ь «WOT (Web of Trust) - бесплатная надстройка к браузеру, которая предупреждает интернет-пользователя во время поиска информации или совершения покупок о сайтах с низкой репутацией».

Теперь перейдем к выделению основных причин проведения данного аудита. Причины условно можно разделить по степени обязательности:

· Обязательная сертификация;

· Сертификация, вызванная некими объективными причинами;

· Сертификация, позволяющая в будущем принести больший доход компании;

· Сертификация по доброй воле.

Государственные организации обязаны проводить ежегодную аттестацию безопасности своей информационной системы. Однако существуют и организации, которые не обязаны проводить аттестацию своей ИС. Для таких компаний проведение аудита будет намного выгоднее. За услугами аудита, заказчик обращается в крупную компанию-интегратор, которая обладает высоким опытом.

В большинстве случаев компании проводят аудит только лишь для того, чтобы привлечь крупного клиента, предоставляя ему сертификат, который подтверждает высокий уровень информационной безопасности. В такой ситуации происходит проведение сертификации на соответствие тем стандартам, которые довольно важны для клиентов.

В заключение данной главы отметим, что при планировке проведения проверки информационной безопасности важно не только грамотно выбрать вид аудита, но и правильно выполнить исполнителя. Ведь данный выбор напрямую зависит от потребностей, возможностей и желаний компании

2.3 Информационные риски компании

При внедрении системы управления информационной безопасностью в организацию, для аудиторов камнем преткновения обычно является система управления рисками. В данной главе мы подробно познакомимся с понятием рисков, а также способами управления ими.

Специалисты информационной безопасности не могут прийти к консенсусу при вопросе управления рисками. Кто-то отрицает те или иные методы оценки рисков, другие отрицают целостность анализа и управления рисками в целом. Есть и специалисты, которые утверждают, что компания не достаточно времени уделяет объективному анализу активов компании, таких как репутация компании. Отдельный класс специалистов предлагают тратить на процедуру обеспечения информационной безопасности столько денег, сколько осталось в бюджете.

Риски подразумевают под собой причинения какого-либо ущерба в тот или иной момент времени. Это может быть как прямой ущерб, так и косвенный. При прямом ущербе можно привести пример попадание молнии в один из зданий компании, либо обесценивания некоторых ценных бумаг. Косвенный ущерб обозначает тот факт, что компания не заключила контракт с какой-либо компанией и не получила возможной прибыли.

Для достижения любых целей, организация использует несколько категорий ресурсов, которые именуются активами. «Активы - это ресурсы, контролируемые компанией в результате прошлых событий, от которых компания ожидает экономической выгоды в будущем». Другими словами, актив это вся ценность организации, которая приносит ей доход. Существует несколько типов активов:

· Материальные;

· Финансовые;

· Людские;

· Информационные;

· Процессы.

Последний тип активов был определён из современных международных стандартов. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. Среди других важных активов компании стоит выделить имидж и репутацию. Данные активы приносят доходы компании косвенным способом, привлекая клиентов, ведь репутация и имидж - это активы, обладающие широко распространяемой информацией. Одной из основных целей информационной безопасности является защита имиджа компании, так как под имиджем компании часто понимается конфиденциальная информация, которая при ее утечке, может обрушить экономику предприятия.

Нарушение безопасности предприятия может затронуть сразу несколько групп активов организации. Например, произошел сбой сервера. Данный инцидент негативно влияет на доступность различных приложений, как и у сотрудников компании, так и у клиентов. Все это приводит к дефициту работников на определенном участке в компании, вызывая потребность в оптимизации бизнес - процессов. Таким образом, сбой сервера может привести к потере имиджа компании.

Все активы довольно важны для предприятия. Однако каждая компания разделяет все группы активов на два типа:

· Основные активы;

· Вспомогательные активы.

Определение данных активов не составит особого труда, ведь основными активами, компания считает те активы, вокруг которых организован бизнес компании.

Например, компания занимается продажей квартир и дачных участков. Для такой организации основным активом может служить материальный актив. Среди вспомогательных активов сюда можно отнести людской.

Риски потери одного из основных активов могут привести к потере бизнеса в целом. По этой причине, руководство организации лично следит за его работоспособностью.

Так как управления рисками являются, для большинства компаний, не основным элементом управления бизнесом, в практике применяются три основных подхода управления рисками:

· Для некритичных систем;

· Для критичных систем;

· Бизнес компании построен вокруг информационных активов.

В случае с некритичными системами, когда информационные активы являются вспомогательными, а уровень информации низок, есть лишь минимальная необходимость в оценке рисков. Для таких организаций необходима лишь базовая защита информации, которая будет соответствовать нескольким стандартам информационной безопасности. Более того при оценке рисков по стандартам, стоит помнить об экономической целесообразности применения тех или иных стандартов для данной организации.

При наличии критичной системы в организации, когда информационные активы не являются основными, однако информация очень необходима для бизнес-процессов, атака на информационный актив может сильно повредить один из основных бизнес - процессов компании. В таких случаях необходима оценка рисков, уделяя при этом больше времени на отдельные критичные информационные системы, которые более всего могут поддаваться нападению хакера.

В том случае, когда бизнес компании построен вокруг информационных активов, они относятся к основным, что означает тот факт, что для оценки таких рисков необходимо применять формальных полный подход.

При выборе похода оценки рисков предприятия стоит также помнить об уровнях зрелости анализируемой компании. «Управление рисками ИБ представляет собой непрерывный процесс, обеспечивающий выявление, оценку и минимизацию рисков от реализации угроз информационной безопасности, направленных на активы организации». По степени зрелости организаций можно выделить некоторые из них, которые определены стандартами COBIT и другими:

· На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.

· На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.

· Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы - процессы управления рисками.

· «Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования».

Процессная модель управления рисками

Недавно был принят британский стандарт BS 7799 Часть 3 - Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Данный стандарт предоставляет рекомендации по оценке и управлению рисками компании, используя при этом процессную модель, которая используется в других стандартах управления информационной безопасностью.

Данная процессная модель включает в себя следующие группы процессов:

· Планирование;

· Реализация;

· Проверка;

· Действия.

Стоит отметить, что стандарт ISO 27001, описывает цикл управления информационной безопасностью, в то время как BS 7799 - 3 описываются процессы управления рисками информационной безопасности.

Процесс планирование подразумевает под собой оценку рисков, которая включает в себя инвентаризацию активов, составление профилей угроз и уязвимостей, а также предоставление оценки об эффективности мер против возможного ущерба.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Организация принимает одно из решений:

· Проигнорировать;

· Избежать;

· Передать;

· Минимизировать.

После этого производится и происходит процесс внедрения плана обработки рисков.

На следующем этапе происходит отслеживание механизмов контроля на их функционирование. Также контролируются факторы риска, такие как: активы, угрозы и уязвимости. Конечным шагом данного этапа является проведение аудитов.

На этапе действия, по результатам предыдущих шагов, выполняются необходимые корректирующие действия, которые могут включать в себя:

· Процесс оценивания величины рисков;

· Изменение политики и методологии оценки рисков;

· Изменение плана обработки рисков.

Факторы риска

При анализе рисков не стоит забывать и об анализе факторов риска для принятия правильных решений по обработке рисков. Факторы риска - это основные параметры при оценке рисков. Стоит выделить все параметры:

· Актив

· Ущерб

· Угроза

· Уязвимость

· Механизм контроля

· Размер среднегодовых потерь

· Возврат инвестиций

Каждая компания производит анализ и оценку данных факторов при помощи методологии исследуемой организации. Стоит отметить, что общий подход к анализу практически одинаковый.

Процесс оценки рисков состоит из двух фаз. В первой фазе, которая называется анализ рисков, необходимо проделать следующее:

· Узнать, что является основным активом компании;

· Узнать реальную ценность данного актива;

· Провести анализ угроз относительно данного актива;

· Провести анализ ущерба и других угроз в случае нарушения информационной безопасности основного актива;

· Узнать, как сильно уязвим бизнес при данных угрозах;

· Проанализировать среднегодовые потери.

Вторая фаза носит название оценивание рисков. После анализа рисков, аудиторы получают риски, которые превышают допустимый уровень. В данной фазе происходит процесс обработки риска, и проделываем следующее:

· Выбираем вариант обработки риска;

· Анализ механизмов контроля при минимизации риска;

· Анализ эффективности выбранных механизмов контроля и инвестиций.

После принятия решения по обработке рисков, для того, чтобы руководство могло принять правильное решение, ответственный за управление рисками в компании должен предоставить ему информацию. Данная информация должна включать в себя:

· Сообщение о проблеме. Источник проблемы и способ реализации;

· Степень серьезности проблемы. Возможные потери для предприятия;

· Предлагаемое решение. Анализ действий для исправления ситуации вместе с возможным финансовым планом на реализацию данного решения;

· Альтернативные решения. Предоставление других способов решения проблемы.

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

2.4 Применение и сбор требований системы менеджмента информационной безопасности, основанных на стандартах ISO 27001 и ISO 27002

В данной главе будет произведен анализ требований менеджмента информационной безопасности на основе стандартов ISO 27001 и 27002 для российских предприятий. Перед выделением требований, хотелось бы проанализировать эти два стандарта.

Стандарт ISO 27001 включает в себя описание общей модели внедрения и функционирования системы менеджмента информационной безопасности. Цель данного стандарта заключается в обеспечении согласованности менеджмента ИБ вместе с другими системами управления в компании. Другими словами, это значит, что при внедрении других стандартов менеджмента, она может с легкостью применять единую систему аудита.

Система менеджмента информационной безопасности описана в данном стандарте с точки зрения создания, внедрения, эксплуатации, мониторинга и поддержки. При внедрении данной системы, компанию получает средства мониторинга и управления безопасностью, которые помогают снизить различные типы рисков.

В приложениях стандарта ISO 27001 содержаться цели и средства управления информационной безопасности. При внедрении системы менеджмента ИБ, стандарт ISO 27001 использует «цикл СМИБ».

В разделах четыре и восемь стандарта ISO 27001 содержатся основные требования создания СМИБ, который указан на рисунке семь.

Стандарт ISO 27002 «Свод правил по менеджменту информационной безопасности». «Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности». ISO 27002 не определяет, как нужно применять средства управления. Он предоставляет направление для создания системы менеджмента, которое позволяет выбрать средства управления.

В зависимости от технической и физической среды компании, руководство самостоятельно должно выбрать процедуры для внедрения.

Компания должна серьезно относиться к информационным активам, и внедрить СМИБ, основываясь на стандарте ISO 27002. Данный стандарт включает в себя двенадцать разделов, которые описывают средства управления безопасностью такие как:

· «Политика безопасности;

· Организация информационной безопасности;

· Управление ресурсами;

· Безопасность персонала;

· Физическая безопасность и безопасность окружения;

· Управление коммуникациями и операциями;

· Управление доступом;

· Приобретение, разработка и поддержка систем;

· Управление инцидентами информационной безопасности;

· Управление бесперебойной работой организации;

· Соответствие нормативным требованиям».

Стандарт ISO 27001 представляет систему менеджмента информационной безопасности. Стандарт ISO 27002 представляет руководящие принципы по реализации ресурсов управления.

Перейдем к обсуждению системы менеджмента информационной безопасности. На эффективность данной системы может влиять огромное количество различных факторов. Одним из таких факторов может являться риск-менеджмент, которые включает в себя следующие основные понятия:

· Организационная безопасность;

· Физическая безопасность;

· Безопасность персонала;

· Управление активами;

· Безопасность коммуникаций;

· Безопасность функционирования;

· Безопасность разработки и закупки информационных технологий;

· Обеспечение непрерывности бизнеса.

Каждый из разделов включает в себя большое количество подразделов. В качестве примера приведем раздел: управление доступом. Он может включать в себя подразделы: доступ на уровне пользователей, доступ на уровне компонентов операционной системы. В свою очередь каждый из компонентов может обладать своими особенностями, что приводит к сложностям. Для избегания этого необходимо разработать структуру, которая поможет избавиться от проблем. Это можно сделать с помощью системы менеджмента безопасности.

СМБ представлена в виде схемы, которая описывает основные разделы безопасности, состоящая из разделов и подразделов. Специалисты тщательно разрабатывают и описывают систему менеджмента безопасности, так как в будущем она будет неоднократно применяться. Стоит выделить одну из функций данной системы. Она позволяет:

· Отслеживать ход разработки;

· Отслеживать ход внедрения;

· Отслеживать эффективность политики, процедур и стандартов, которые принимаются для каждого из разделов безопасности.

Данные элементы также могут быть использованы компанией для контроля поставщиков услуг. При этом данные услуги могут быть разными и варьироваться от внутренних до услуг, переданных на аутсорсинг. СМБ позволяет выделить некие границы документации и инструментарий, который регулирует соответствие. Среди инструментария стоит выделить следующие элементы:

· Опросники;

· Аналитические инструменты;

· Инструменты для создания отчетов;

· Инструменты для отслеживания работ по устранению недостатков.

Формальное и грамотное построение системы менеджмента информационной безопасности позволить получить отдачу от инвестиций в обеспечение безопасности компании. Это может быть достигнуто путем снижения бизнес - рисков, а именно уменьшения штрафов, которые накладываются на компанию. Многие требования безопасности могут трактоваться по-разному, поэтому необходимо разработать некий документ, где будут предоставлены все требования, необходимые для реализации системы менеджмента информационной безопасности.

В России существует только один единый документ, который описывает цели и задачи обеспечения информационной безопасности Российской Федерации, утвержденный В.В. Путиным. Однако данный документ рассматривает общие черты предоставление ИБ, среди которых:

· «Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

· Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

· Развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов».

На основе данной доктрины сложно внедрить СМИБ на российское предприятие. В данном дипломе были предоставлены требования, которые необходимы для внедрения системы менеджмента информационной безопасности, основанные на стандартах ISO 27001 и ISO 27002. Проанализировав два стандарта, в данной работе было выделено двенадцать основных разделов СМБ, которые включают в себя подразделы:

· Политика безопасности;

· План менеджмента безопасности;

· Управления активами;

· Безопасность персонала;

· Физическая безопасность;

· Безопасность активов;

· Управление эксплуатацией;

· Управление доступом;

· Обеспечение качества, принятых решений;

· Управление инцидентами;

· Непрерывность бизнеса;

· Управление соответствием и аудитом.

Перейдем к описанию каждого из элементов.

Политика безопасности.

· Политика безопасности информации.

Ш Документация;

Ш Знакомство с политикой;

Ш Просмотр и пересмотр политики.

Наличие политики безопасности компании является обязательным требованием для обеспечения защиты информации. Под политикой компании подразумевается свод требований, которым должно соответствовать предприятие, поддерживающее миссию компании. Документация подразумевает создание руководством четких вопросов по управлению информационной безопасностью, а также правила их реализации. Все сотрудники должны быть ознакомлены с политикой компании. Россия не имеет типового документа по политике безопасности. В британском стандарте BS7799:1995 указаны пункты, которые необходимо включить в политику ИБ.

· Вводный документ. Данный документ должен подтверждать заинтересованность высшего руководства по обеспечению информационной безопасности;

· Организационный документ. Данный документ описывает подразделения, комиссии и группы, которые отвечают за ту или иную работу в информационной безопасности;

· Классификационный документ. Данный документ описывае, имеющиеся на предприятии ресурсы и необходимый уровень их защиты;

· Документ физической защиты информации;

· Документ, описывающий правила разграничения доступа к информации на предприятии;

· Документ описания и порядка внедрения различных информационных систем на предприятие.

В случае каких-либо изменений в структуре компании или по истечению какого-либо определенного времени, требуется тщательный пересмотр политики компании на соответствие и соблюдение всех указанных в ней рекомендаций.

План менеджмента безопасности.

Ш Участие высшего и среднего руководства в обеспечении безопасности;

Ш Согласованность информационной безопасности;

Ш Определение ролей и обязанностей в менеджменте безопасности;

Ш Процесс авторизации и аутентификации;

Ш Конфиденциальность;

Ш Внешние организации;

Ш Аудит.

План менеджмента безопасности описывает требования к основным понятиям безопасности. Необходимо участие руководства, а именно стратегическое управление для успешной реализации программы. Определение бизнес - рисков компании и надзор за предотвращением таковых является функцией руководства. При внедрении безопасности необходима сплоченность всех департаментов компании в группе внедрения безопасности для бизнес-планирования и анализа. Четкое определение ролей и обязанностей по стратегическому управлению и обеспечению безопасности является следующим обязательным разделом. Установление единой политики на средства по обработки данными или организация управления учеными записями пользователей, которая применяется к физическому или к виртуальному доступу. Сотрудники компании должны иметь представления о своих обязанностях и возлагаемой на них ответственности. На основании этого, руководство имеет законные основания, не нарушая прав своих сотрудников, применять действия по обеспечению безопасности предприятия. Руководство должно быть подготовлено к чрезвычайным ситуациям и обладать политикой, при которой организация определяет к каким органам стоит обращаться в случае возникновения той или иной ситуации. Требуется провести независимый аудит сторонней организацией, несмотря на профессионализм специалистов. Это должно проходит каждый определенный промежуток времени, установленный компанией.

Упрощенный план менеджмента безопасности должен быть представлен в виде документа со следующими полями:

· Фаза;

· Менеджер проекта;

· Поставщик;

· Ответственный за систему;

· Внешний или внутренний оценщик;

· Внешняя или внутренняя структура безопасности.

Управление активами

· Ответственность за активы;

Ш Инвентаризация;

Ш Определение владельца;

Ш Политика использования;

· Классификация информации;

Ш Классификация;

Ш Обращение с информацией.

Управление активами - профессиональное управление различными типами ценных бумаг (акциями, облигациями и т.д.) и другими активами (например, недвижимостью), целью которого является получение прибыли инвесторами. «Инвесторами в данном случае могут выступать как компании (страховые компании, пенсионные фонды, корпорации и т.д.), так и частные инвесторы (непосредственно или с помощью коллективного инвестирования)». Инвентаризация подразумевает под собой идентификацию всех активов компании с последующим указанием важности каждого из активов. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Также стоит выделить некую методологию мониторинга активов, в случае возникновения рисков. За каждым активом должен быть закреплен владелец, который будет распределять права доступа к нему вместе с пользованием. Владельцы активов должны руководствоваться некой политикой, которой они должны следовать при управлении активами. Раздел «управление активами» включает в себя подраздел классификация информации, который указывает на требования для сохранения информации об активах. Требуется разработка классификации информации для эффективного управления рисками. Владелец активов сам производит классификацию и соблюдает данные требования для всей информации, чтобы произвести защиту активов. Также необходима инструкция по обращению с любой информацией, располагаемой в компании в зависимости от ее классификации.

Безопасность персонала

· Соблюдение безопасности для сотрудников перед приемом на работу;

Ш Роли и обязанности;

Ш Проверка предоставленной информации;

Ш Соблюдение законодательных требований;

· Соблюдение безопасности для сотрудников во время их работы;

Ш Осведомленность сотрудников;

Ш Обучение и тренинги;

Ш Наказания.

При внедрении системы безопасности на предприятие огромное внимание уделяется обеспечению безопасности людских ресурсов. Необходимо выделить роли и обязанности, связанные с безопасностью, а затем назначит кадровую службу, которая будет вести учет данных ролей. Перед приемом сотрудника на работу требуется тщательно проанализировать, предоставленную им информацию на наличие ошибок и возможной недосказанности. Заключение сотрудничества на основе договора, имеющего юридическую силу.

Данный раздел включает в себя подраздел, который описывает некоторые требования, необходимые для соблюдения безопасности сотрудника и компании во время работы. Каждый сотрудник должен знать свои обязанности и свою роль в соблюдении политики безопасности компании. Компания должна проводить тренинги по повышению работоспособности и осведомленности сотрудников относительно безопасности. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам. Все пользователи должны быть обязаны сообщать определенным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования. Необходимо обеспечивать защиту персональных данных. Необходимо назначить ответственное лицо за обеспечение безопасности персональных данных. Нужно соблюдать «правило чистого рабочего стола», которое требует от пользователя регулярную чистку файлов, связанных с паролями на компьютере. Должны быть установлены санкции за нарушение политики менеджмента безопасности.

Физическая безопасность.

· Расположение;

· Политика входа и выхода;

· Безопасность офисов;

· Внешние угрозы;

· Области с повышенной опасностью.

Обеспечение физической безопасности является главным аспектом безопасности, так как при несоблюдении этой политики можно пострадать физически. В зависимости от территории, в которой находится предприятие, требуется соблюдение политик безопасности. Для уменьшения затрат, требуется ограничить число входов и выходов каждого пользователя в систему. Следует скрывать различные помещения, требуемые специальной степени защиты. Необходимо прописать политики в случае природных катаклизм и технологических аварий, связанных с жизнью человека. Требуется описание политик для мест, которые требуют повышенной меры безопасности.

Безопасность активов.

· Меры;

· Сопровождение;

· Использование активов;

· Уничтожение актива;

Необходимо физическое ограничение доступа защищаемых помещений или технических средств, чтобы злоумышленник не смог увидеть или проникнуть к активам. При внедрении той или иной системы, например CRM, необходимо не только умение пользование данной системой, но и оказание услуг, системы консалтинга, которая внедрила эту систему. Нужно поддерживать и сопровождать внедренные системы. После обновления того или иного актива и передачи его другому лицу, нужно тщательно удалить всю информацию, связанную с этим активом. Примером может служить передача компьютера руководителя бухгалтеру. Установите стандарты и правила, по которым стоит удалять актив. Следует проводить мониторинг соблюдения введенных стандартов для качественного обеспечения безопасности предприятия.

Управление эксплуатацией.

· Работоспособность;

· Управление тестированием;

· Управления логами (журналами событий).

Под понятием работоспособности системы я, на основе проведенных исследований, подразумеваю поддержание системы в рабочем состоянии, несмотря на внешние и внутренние воздействия, благодаря системам восстановления, системам защиты от несанкционированного доступа (НСД) и системам обслуживания.

Необходимо разработать документацию по работе с информационными технологиями на предприятии и выделить основные процедуры, такие как: включение системы, обслуживание, восстановление, пронос данных, шифрование. При нехватке каких-либо знаний в том или ином департаменте, необходимо временно перевести сотрудника в данный отдел для отсутствия прерывания бизнес - процесса компании. Для предотвращения попадания ненужных элементов в среду разработки, необходима аналогичная система, которая поможет ИТ - специалистам проводить тестирование различных элементов, без остановки рабочей системы. Примером такой системы может служить salesforce.com. В наличии данной системы имеется версия Production - рабочая система предприятия, а также sandbox - «песочница», предназначенная для тестирования отдельных объектов, полей, бизнес-правил предприятия. Утверждение политики ведения журналов поможет компании отслеживать изменения записей, относящихся к продажам, сотрудникам и другим ресурсам. Данное отслеживание может быть осуществлено с помощью уведомлений на электронную почту руководства.

Управление доступом.

· Управление учетными записями;

· Управление дополнительными возможностями пользователей;

· Пересмотр возможностей пользователя;

· Классификация информации.

Необходимо разработать процесс регистрации, аутентификации и входа пользователя в систему. Примером может служить система salesforce.com. При создании пользователя можно задать определенное бизнес - правило, которое будет отправлять уведомление на почту руководителю, который должен утвердить данный контакт или любое другое поле на предприятии. Каждый пользователь системы должен обладать своими привилегиями. Для этого необходимо разработать иерархию ролей компании в системе и предоставлять доступ к определенной информации пользователям, которые занимают ту или иную роль в компании. Предоставление привилегий проводится администраторами, таким образом, они должны каждый промежуток времени сверять настройки пользователя на наличие ошибок и в случае нахождения таковых, немедленно исправлять. При отсутствие данной процедуры пользователю может быть доступна ненужная ему информация о компании, которую он может по ошибке изменить. Необходимо классифицировать информацию, которая будет доступна каждому профилю пользователей.

Обеспечение качества принятых решений.

· Безопасность информационных технологий;

· Точность информации;

· Безопасность файлов;

· Управление уязвимостями;

Необходимо создать требования, необходимые для обеспечения безопасности ИТ. Данные требования создаются индивидуально, в зависимости от предоставляемых услуг компанией. Необходимо быть уверенным в предоставлении точной информации без «мусора», а также ее отправке. Для этого необходимы сторонние приложения, такие как антивирусные системы, через которые будет проходить поток информации, который будет сверяться и в случаи ошибки редактироваться. Необходимо правильное разделение полей доступа в базе данных предприятия, для безопасности файлов. Это подразумевает наличие отдельных сред, где каждая группа пользователей будет работать обособленно друг от друга. При соблюдении данных правил, ИТ специалисты смогут редактировать систему, не мешая менеджерам или операторам кол-центра выполнять свои обязанности, тем самым не нарушая общие правила бизнес-процесса. Управление уязвимостями, обозначает наличие документа для руководства, где будут описаны все уязвимости программных и аппаратных средств предприятия. ИТ-специалисты необходимы, принимать участие в разработке патчей для ликвидации возможных багов, уязвимостей компании.

Управление инцидентами.

· Выявление;

· Уведомление;

· Действие.

Необходимо создание политики для обеспечения выявления инцидентов на предприятии. Например, автоматический мониторинг каждую единицу времени на определенных секторах. Для того, чтобы выявленный инцидент не смог нарушить бизнес-процессы, необходимо вовремя уведомить об этом сотрудников. Чаще всего для этого внедряется департамент Help Desk (техническая поддержка), которая занимается процессом уведомления. Также данный департамент занимается подразделом «дейтсвие» данной рекомендации. Техническая поддержка обязана не только уведомить весь персонал об инциденте, но и сделать все возможное для его ликвидации. В случае невозможности ликвидации, Help Desk должен обратиться в сторонние службы для оказания помощи.

Непрерывность бизнеса.

· Управление непрерывностью бизнеса;

· Оценка угроз;

· Оценка рисков;

· Сопровождение непрерывности бизнеса.

Необходимо использовать оценку угроз и рисков для четкого управления непрерывность бизнеса. Должна быть разработана политика восстановления бизнеса компании после того или иного инцидента. Необходимо спланировать возможные угрозы предприятия и оценить возможный ущерб. Необходимо определить основный актив компании и выделить вероятность риска, которая понесет за собой возможный ущерб. Подробная информация об оценке рисков описана в главе 2.3. Необходимо разработать план по восстановления работоспособности информационной системы компании для продолжения ведения бизнеса, с минимальными затратами. В программной среде salesforce.com эта функция реализуется с помощью неких событий-триггеров, которые являются генератором ошибок системы, не позволяющие привести к ошибке в системе предприятия.

Управление соответствием и аудитом.

· Стандарты и кодекс

· Защита данных;

· Аудит безопасности;

· Инструменты аудита.

Необходимо создание общих списка всех, относящихся к компании требований на основе кодекса и различных стандартов. Это необходимо для того, чтобы выделить какими ресурсами и программным обеспечением необходимо пользоваться для соблюдения законности. Необходимо создать политику защиты данных, в которой будет обговорены пределы выноса информации за пределы организации, а также количество и тип возможной выносимой информации. Должен проводиться аудит средств безопасности для обеспечения уверенности руководства в том, что компания хорошо защищена. Он, должен быть осуществлен каждый определенный промежуток времени, сторонней аудиторской компанией. Внутри компании необходимо наличие сотрудника, который будет отвечать за использование программного средства на наличие уязвимостей в системе, с последующей ее ликвидацией. Нужно ограничить доступ к данному программному средству от неуполномоченных лиц для предотвращения нанесения вреда компании.

Внедрение системы менеджмента информационной безопасности - процесс довольно трудоемкий. Однако при соблюдении данных рекомендаций процесс внедрения окажется быстрым, а защита предприятия довольно эффективная.

Заключение

Таким образом, в данной дипломной работе был дана характеристика информационной безопасности, а также различные теоретические аспекты менеджмента информационной безопасности, понятие рисков и активов компании, необходимые для полного понятия системы внедрения. Был проведен анализ и сравнительная характеристика отечественных и международных стандартов с дальнейшим выделением плюсов и минусов, которые существенно повлияли на практическую часть данной работы.

На основе полученного анализа были созданы соответствующие рекомендации, необходимые для минимальной защиты российского предприятия от угроз информационной безопасности. Внедрив систему менеджмента информационной безопасности на основе созданных рекомендаций, компания может достигнуть существенных изменений в конкурентоспособности, как по защите, так и по прибыльности своего бизнеса.

Список литературы

1. http://ru.wikipedia.org/wiki/Кофиденциальность

2. http://ru.wikipedia.org/wiki/Целостность_информации

3. http://ru.wikipedia.org/wiki/Авторизация

4. http://www.comss.ru/page.php? id=1398 - Статья - «VB100 Апрель 2013: Сравнительное тестирование антивирусов»

5. http://www.razgovorodele.ru/security1/safety05/technician04.php - Статья - «Основные направления информационной безопасности»

6. http://ru.wikipedia.org/wiki/ISO/IEC_27001

7. http://www.complexdoc.ru/

8. http://sp-egov.ru/blog/chapter5/s51 - Статья - «Инфраструктура обеспечения юридической значимости электронного взаимодействия»

9. http://www.ekey.ru/company/dictionary

10. http://ru.wikipedia.org/wiki/Критерии_определения_безопаности_компьютерных_систем

11. http://ru.wikipedia.org/wiki/WOT:_Web_of_Trust

12. http://bugtraq.ru/library/security/practicaliso.html - Статья - «Практические аспекты применения международного стандарта безопасности информационных систем ISO 27001:2005»

Размещено на Allbest.ru


Подобные документы

  • Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.

    дипломная работа [208,6 K], добавлен 26.01.2013

  • Сущность понятия "информационная безопасность". Категории модели безопасности: конфиденциальность; целостность; доступность. Информационная безопасность и Интернет. Методы обеспечения информационной безопасности. Основные задачи антивирусных технологий.

    контрольная работа [17,0 K], добавлен 11.06.2010

  • Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.

    статья [15,9 K], добавлен 24.09.2010

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Угрозы безопасности программного обеспечения и классификация средств атаки на средства защиты ПО. Методы и средства защиты программ от компьютерных вирусов и средств исследования программ. Анализ стандартов в области информационной безопасности.

    дипломная работа [1,4 M], добавлен 29.06.2012

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.

    дипломная работа [1,1 M], добавлен 15.09.2012

  • Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.

    курс лекций [52,7 K], добавлен 17.04.2012

  • Информационная безопасность. Угроза информационной безопасности. Классификация компьютерных вирусов. Загрузочные вирусы. Файловые вирусы. Сетевые вирусы. Макро-вирусы. Резидентные вирусы. Методы обеспечения информационной безопасности.

    реферат [19,8 K], добавлен 06.04.2007

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.